Aujourd'hui, nous examinons le routage Inter-VLAN et l'interface du commutateur virtuel SVI. Nous nous sommes déjà familiarisés avec ces sujets dans le cours ICND1 et nous allons maintenant les traiter plus en détail. Ces sujets sont mentionnés dans la section 2.0, Technologies de routage, de l'ICND2, sous-sections 2.1a et 2.1b. Nous examinons d'abord les problèmes de configuration, de vérification et de routage inter-VLAN, puis le concept d'architecture réseau Router-on-a-Stick (ROAS) et l'interface du commutateur SVI.
Passons au programme Packet Tracer et considérons ce qu'est l'interface virtuelle du commutateur SVI. Le diagramme montre deux réseaux: un service commercial et un service marketing, chacun ayant son propre commutateur. Par défaut, les ordinateurs sont connectés au commutateur via le VLAN1 par défaut, afin qu'ils puissent communiquer entre eux sans problème.
Mais si l'ordinateur n ° 1 du service commercial souhaite contacter l'ordinateur n ° 1 du service marketing, il ne pourra pas le faire car les réseaux ne sont pas connectés. Techniquement, vous pouvez connecter les deux commutateurs par câble, mais les ordinateurs ne pourront toujours pas communiquer, car ils font partie de différents réseaux avec différentes plages d'adresses IP - 192.168.10.0/24 et 192.168.20.0/24.
Il est possible d'établir une communication entre ces deux réseaux si vous placez entre les périphériques de commutateurs du 3ème niveau OSI, un routeur, et connectez les commutateurs et le routeur avec des câbles.
Habituellement, dans un bureau, vous n'avez pas deux commutateurs différents pour deux réseaux, principalement parce que les commutateurs Cisco sont assez chers, vous devez donc gérer un commutateur pour 24 et 48 ports. Supposons que nous ayons un commutateur à 48 ports.
Nous créons différents VLAN. Laissez la couleur des ports sur le diagramme ne vous dérange pas, je vais les dessiner en noir. Le réseau bleu est VLAN10 et le rouge est VLAN20. Si nous le faisons, les ordinateurs de différents réseaux ne pourront toujours pas communiquer entre eux, car le commutateur est un périphérique OSI de niveau 2. Nous avons besoin d'un appareil de niveau 3 pour l'interconnexion.
Vous pouvez résoudre ce problème en utilisant un routeur, dont un port sera connecté à l'un des ports du réseau VLAN10 bleu et l'autre port - à l'un des ports du réseau VLAN20 rouge. Dans le même temps, nous pouvons facilement organiser la communication entre les ordinateurs de différents réseaux via ce routeur.
Avec ce schéma, nous utilisons irrationnellement des interfaces de routeur, il est donc beaucoup plus efficace d'utiliser une autre façon d'interconnexion appelée Router-on-a-Stick. Plus tard, nous y reviendrons, mais pour l'instant, nous considérerons l'interface virtuelle du commutateur SVI. Comme vous le savez, le commutateur «prêt à l'emploi», tous les ports sont configurés par défaut sur VLAN1, et le commutateur possède une interface virtuelle pour ces réseaux - l'interface VLAN1. Qu'est-ce qu'une interface virtuelle?
Si vous, en tant qu'administrateur réseau, configurez le commutateur, puis utilisez votre ordinateur, qui est connecté par câble au port de console du commutateur. Le problème est que pour utiliser la console, vous devez être à côté du commutateur, à une distance ne dépassant pas la longueur du câble. Supposons que vous êtes un grand administrateur réseau et que vous souhaitez configurer l'appareil à distance. Cependant, le commutateur est un appareil du 2e niveau du réseau, il ne peut donc pas avoir d'adresse IP, et il n'y a aucun moyen d'y accéder via le réseau, car il est impossible d'attribuer des adresses IP aux interfaces physiques du commutateur. Comment résoudre ce problème?
Pour ce faire, nous devons créer une interface virtuelle pour VLAN1 et lui affecter une adresse IP 192.168.1.1 ou toute autre adresse. Ensuite, l'ordinateur de l'administrateur réseau dessiné par moi avec l'adresse IP 192.168.1.10 pourra se connecter à cette interface virtuelle avec un commutateur via Telnet ou SSH. Cette fonctionnalité existe par défaut pour VLAN1.
Cependant, le réseau bleu PC1 appartient à VLAN10 et l'interface virtuelle appartient à VLAN1, de sorte que l'ordinateur ne peut pas communiquer avec l'interface VLAN1, car il appartient à un autre réseau. Dans ce cas, vous pouvez créer une interface virtuelle pour VLAN10 et créer la même interface pour VLAN20. Ensuite, l'ordinateur PC1 du réseau bleu et l'ordinateur PC1 du réseau rouge peuvent communiquer à distance avec le commutateur via des interfaces virtuelles - pour cela, il vous suffit d'attribuer des adresses IP à ces interfaces dans les plages d'adresses VLAN10 et VLAN20.
Ainsi, afin de fournir un accès à distance de tout appareil au commutateur, vous devez créer une interface virtuelle avec le même numéro de VLAN auquel appartient cet appareil, par exemple, créer une interface virtuelle VLAN20 pour un ordinateur à partir de VLAN20, etc.
En discutant des VLAN, nous mentionnons la couche 2 et la couche 3 du modèle OSI. Afin de comprendre la différence entre eux, nous utilisons Packet Tracer.
J'héberge un appareil de niveau 2 - un commutateur et j'ajoute quelques PC d'utilisateur final. Le PC0 gauche est sur VLAN10 et le PC1 droit est sur VLAN20. Ensuite, je vais créer un réseau en connectant des ordinateurs au commutateur. Les deux ordinateurs doivent avoir leurs propres adresses IP, je vais donc dans leurs paramètres réseau et attribuer à PC0 l'adresse 198.168.10.1 et le masque de sous-réseau 255.255.255.0. Je n'utilise pas de passerelle pour l'instant, je laisse donc les paramètres par défaut. Je fais de même avec PC1, en lui attribuant l'adresse 198.168.20.1 et le masque de sous-réseau 255.255.255.0.
Maintenant, je lance un ping depuis PC0 sur un ordinateur avec l'adresse 198.168.20.1. Des leçons précédentes, vous devez savoir que cela ne fonctionnera pas. Malgré le fait que les deux PC sont connectés aux interfaces par défaut du commutateur VLAN1, ils ne peuvent toujours pas communiquer, car ils ont des adresses IP appartenant à différentes plages d'adresses réseau - VLAN10 a une plage de 192.168.10.0/0 et VLAN20 a 192.168.20.0 / 0. Autrement dit, physiquement, les ordinateurs peuvent communiquer entre eux, mais logiquement - non.
Je vais dans la console du commutateur et modifie les paramètres du VLAN. Pour ce faire, j'appelle l'interface f0 / 1 et saisis les commandes d'accès en mode switchport et d'accès switchlan vlan10, après quoi le système affichera un message indiquant qu'un tel réseau n'existe pas et qu'il sera créé. Ensuite, je vais entrer la commande show vlan brief, et vous pouvez voir que nous avons créé un réseau VLAN10. Ensuite, j'entre la commande show ip interface brief, et nous voyons qu'à la fin de la liste des interfaces, nous avons l'interface virtuelle VLAN1 par défaut - c'est SVI. Il est dans un état administratif insuffisant.
Essayons maintenant de créer une interface virtuelle pour VLAN10. Nous voyons que le commutateur n'avait pas de réseau VLAN10 et donc créé, c'est le 2ème niveau du modèle OSI. L'interface virtuelle pour VLAN10 est de niveau 3, et vous devez utiliser la commande int vlan10 pour la créer. Après cela, le système affichera un message indiquant que l'interface VLAN10 a changé d'état en up - «on», tandis que le protocole linéaire de l'interface VLAN10 est également activé.
Si vous entrez à nouveau la commande show int brief, il est clair que nous venons de recevoir l'interface VLAN10 créée, qui est à l'état haut. Si nous créons un SVI, alors par défaut, il sera à l'état «on». N'oubliez pas - l'interface pour VLAN1 est désactivée par défaut, mais lorsque nous créons une autre interface VLAN virtuelle, elle sera activée.
Comme vous pouvez le voir, il n'y a pas de VLAN20 dans la base de données VLAN, donc je vais le créer avec la commande int vlan 20. Vous voyez que je suis en mode sous-commande de cette interface. Je peux entrer la commande d'arrêt pour désactiver ce SVI, ou écrire pas de fermeture si je veux le laisser dans l'état d'activation. Examinons à nouveau la liste des interfaces. Comme vous pouvez le voir, nous avons automatiquement créé un réseau VLAN20. Le VLAN10 précédemment créé est à l'état haut, il n'y a aucun problème avec lui. Mais maintenant, quand j'ai créé VLAN20, il est apparu à l'état déconnecté. Il s'agit d'un type de problème, nous devons donc comprendre pourquoi lui et son protocole correspondant sont en panne.
Il s'avère que l'interface VLAN20 est désactivée car nous n'avons pas encore de réseau VLAN20. Par conséquent, quittons les paramètres d'interface et créons ce réseau. N'oubliez pas que lors de la création d'un élément d'une structure de niveau 3 du modèle OSI, utilisez la commande int vlan 20 et pour créer un élément de niveau 2, utilisez simplement la commande vlan 20. Après avoir créé ce réseau, le système affiche un message indiquant que l'interface VLAN20 a désormais changé d'état. Vous pouvez également voir que le système émet ensuite des conseils au niveau des sous-commandes comme Switch (config-vlan) # au lieu de Switch (config) #.
Essayons maintenant de changer le nom du réseau que nous avons créé. Si nous créons un réseau VLAN10, le système lui donne par défaut le même nom - VLAN0010. Si nous voulons le changer, utilisez la commande name SALES. Ensuite, à l'aide de la commande show vlan brief, nous examinons la base de données VLAN et constatons que le réseau VLAN20 s'est transformé en réseau SALES.
Si vous regardez maintenant la liste des interfaces, vous pouvez voir que l'interface VLAN20 a changé son état en Up car maintenant la base de données VLAN contient un réseau qui correspond à cette interface.
Cependant, vous voyez que le protocole de ce port est toujours inactif et est en panne. En effet, il ne «voit» aucun trafic sur le réseau VLAN20. Pourquoi ne voit-il pas ce trafic? Parce qu'aucun port n'est connecté au réseau VLAN20. Nous devons donc y connecter un port de travail. Dans ce cas, seuls les périphériques de connexion des ports f0 / 1 et f0 / 2 sont actifs.
Par conséquent, à l'aide de la commande int f0 / 2, j'entre dans le mode sous-commande de cette interface et entre les commandes d'accès en mode switchport et d'accès vlan20. Après cela, le système signale que le protocole de ligne d'interface VLAN20 est passé à up. Le même peut être vu avec la commande show int brief - les deux éléments, et l'interface, et son protocole sont dans un état activé. Ainsi, si vous avez un problème avec une interface VLAN désactivée, examinez d'abord la base de données des VLAN et assurez-vous qu'il existe un réseau qui correspond à cette interface. Si vous voyez un protocole désactivé, assurez-vous qu'il y a du trafic actif sur le réseau, c'est-à -dire qu'il y a un port connecté à ce réseau.
Si nous regardons les autres interfaces du commutateur, par exemple, f0 / 5, nous verrons que le protocole de cette interface est à l'état bas, car aucun trafic n'est observé sur cette interface. Par défaut, le port est désactivé si aucun périphérique n'y est connecté et le protocole n'est pas actif, car il n'y a pas de trafic sur ce port. Donc, si vous voyez que le SVI est à l'état bas, vous devez d'abord vérifier les choses mentionnées ci-dessus.
Maintenant que nos ordinateurs ont des adresses IP et que les ports du commutateur sont configurés, nous allons vérifier si le ping PC0 passe à PC1. Bien sûr, vous ne pouvez pas envoyer de requête ping au bon ordinateur, car les périphériques se trouvent toujours dans des réseaux VLAN10 et VLAN20 différents.
Pour résoudre ce problème, je vais placer un appareil sur le circuit auquel une adresse IP peut être affectée - un routeur, et connecter l'une de ses interfaces au port de commutateur f0 / 3 avec un câble, et connecter l'autre interface de routeur avec le port f0 / 4 avec un deuxième câble. Il s'agit de la connexion standard pour de tels cas - tout fonctionnera si je connecte une interface au VLAN10 et l'autre au VLAN20. Afin de ne pas perdre de temps, j'ai préconfiguré les ports du routeur en leur attribuant des adresses IP. Pour voir cela, je vais entrer dans les paramètres de la console du routeur et entrer la commande show ip int brief. Maintenant, je vais apporter les modifications nécessaires en entrant les commandes config terminal, int f0 / 3, switchport mode access et switchport access vlan 10. De la même manière, je configurerai l'interface f0 / 4 pour fonctionner avec le réseau VLAN20.
Voyons voir si le ping va passer maintenant. Vous pouvez voir que les ports de commutation prennent un certain temps pour passer à l'état prêt de saut de trafic - les marqueurs orange deviendront bientôt verts. J'entre ping 192.168.20.1 sur la ligne de commande PC0, mais ping échoue à nouveau. La raison en est mon erreur, car je n'ai pas créé de passerelle dans les paramètres réseau des ordinateurs. Par conséquent, je vais dans le panneau des paramètres et spécifie l'adresse de passerelle pour le premier ordinateur 192.168.10.10 et pour le second - 192.168.20.10.
Après cela, le ping est réussi et maintenant PC0 et PC1 peuvent communiquer entre eux. Cependant, comme je l'ai dit, avec une telle topologie de réseau, nous gaspillons les capacités des ports du routeur - généralement le routeur n'a que deux ports, il est donc criminel de les utiliser de cette façon. Pour utiliser plus efficacement les capacités du routeur, le concept de Router-on-s-Stick, ou "routeur sur une clé, un routeur sur un lecteur flash" est utilisé. Revenons à l'une des diapositives précédentes.
Si nous travaillons avec le 3ème niveau du modèle OSI, le mot-clé dans les commandes de configuration sera «interface». Il met le système en mode sous-commande d'interface, où vous pouvez spécifier le paramètre no shutdown ou shutdown et vérifier le résultat des paramètres d'interface à l'aide de la commande show ip interface brief.
Si nous travaillons avec le niveau 2, et dans le cas d'un commutateur ce n'est rien de plus qu'une base de données VLAN, alors la commande pour entrer les paramètres du réseau virtuel ne contient pas le mot-clé "interface", mais commence par le mot "vlan" avec le numéro correspondant réseaux, par exemple, vlan 10. Après être entré en mode sous-commande, vous pouvez nommer le réseau créé avec la commande de nom VLAN10. Utilisez la commande show vlan brief pour vérifier vos paramètres.
Pour assurer le routage entre deux réseaux, comme déjà mentionné, nous connectons les commutateurs de ces réseaux à un routeur connecté à un réseau externe - Internet.
Avec ce schéma, l'ordinateur n ° 1 peut accéder à Internet ou communiquer avec des ordinateurs sur un autre réseau. Autrement dit, si nous avons deux commutateurs différents, chacun pour son propre réseau, alors pour la communication entre eux, vous avez besoin d'un appareil du 3ème niveau du modèle OSI.
Comme je l'ai dit, généralement au bureau, un commutateur est utilisé, divisé en deux en utilisant le VLAN. Dans le schéma, je désignerai deux VLAN différents - bleu SALES et rouge MARKETING. Pour utiliser cette méthode, vous pouvez utiliser deux interfaces de routeur différentes ou une interface f0 / 0, dans le diagramme, il s'agit d'une colonne bleue entre le routeur et le commutateur. Ce concept est appelé sous-interface - l'interface f0 / 0.10 est affectée au réseau bleu et f0 / 0.20 au réseau rouge.
Supposons que tout ce truc bleu soit connecté à une interface du commutateur f0 / 1, les ordinateurs du VLAN bleu sont connectés aux interfaces f0 / 2 et f0 / 3, et les ordinateurs du réseau rouge sont connectés à f0 / 4 et f0 / 5. Dans ce cas, f0 / 1 doit être un port de jonction, et une jonction doit être créée entre le commutateur et le routeur, car nous avons besoin de tout le trafic de VLAN10 et VLAN20 pour arriver au routeur. Dans ce cas, nous ne pouvons utiliser qu'une seule interface de routeur, qui est divisée en deux sous-interfaces ou sous-interfaces.
Les sous-interfaces sont virtuellement créées dans le routeur avec l'ajout d'un point dans la désignation de l'interface physique. À la sous-interface f0 / 0.10, nous attribuons une adresse IP à partir de la plage d'adresses de VLAN10, et f0 / 0.20 reçoit une adresse IP à partir de la plage d'adresses du réseau VLAN20. Je note que les chiffres après le point dans la désignation de sous-interface ne doivent pas nécessairement correspondre au numéro VLAN. J'utilise des nombres correspondants juste pour vous faire mieux comprendre ce concept. Donc, si l'examen pose une question sur une sorte de problème et que vous pensez qu'il a été causé par l'inadéquation des numéros de VLAN et des sous-interfaces, puisque vous avez appris que les numéros de réseau doivent correspondre, alors vous vous trompez! Encore une fois, je note - le numéro de la sous-interface et le VLAN correspondant peuvent ne pas coïncider, c'est normal, donc la cause des problèmes ne réside pas dans cela.
Ainsi, lorsque l'ordinateur n ° 1 du réseau bleu envoie du trafic, il arrive au port de jonction du commutateur, où il est encapsulé à l'aide du protocole .1q, c'est-à -dire qu'il reçoit la balise VLAN10 et est envoyé au routeur via la jonction. Le trafic VLAN20 est balisé de la même manière. Mais le problème est que par défaut le routeur ne comprend pas la langue .1q. Par conséquent, nous devons entrer dans les paramètres du routeur et indiquer aux sous-interfaces que l'encapsulation utilise .1q. Cela fait, nous leur attribuons des adresses IP à partir des plages d'adresses correspondantes des réseaux VLAN10 et VLAN20. Dès que nous le ferons, la communication entre les réseaux sera établie.
Passons à Packet Tracer, où je supprime d'abord les SVI créés précédemment, entrant dans le mode de configuration du commutateur global et appliquant les commandes no int vlan 10 et no int vlan 20. Si vous regardez la liste des interfaces après cela, vous pouvez voir que les interfaces VLAN10 et VLAN20 ont disparu. Au 2ème niveau du modèle OSI, ces réseaux sont toujours dans la base de données VLAN, puisque nous voulons les utiliser, mais sans les interfaces virtuelles correspondantes.
Ensuite, je retire les 2 câbles reliant le commutateur et le routeur, et connecte le commutateur et le routeur avec un seul câble, car je vais utiliser un seul port du routeur f0 / 0.
Maintenant, je vais dans les paramètres du routeur, sélectionnez l'interface f0 / 0 et entrez la commande no ip address (sans adresse IP). Vous pouvez afficher une liste d'interfaces où vous pouvez voir que l'adresse IP de l'interface FastEthernet0 / 0 n'est pas attribuée, comme pour l'interface Vlan1, et que l'adresse IP 192.168.20.10 est utilisée pour l'interface FastEthernet0 / 1.
Pour utiliser la méthode du «routeur sur bâton», l'interface physique ne doit pas être en mode arrêt. Comme vous pouvez le voir, FastEthernet0 / 0 est en mode de montée manuelle, donc tout va bien. C'est la première chose dont vous devez vous assurer avant d'utiliser Router-on-s-Stick, la seconde est que cette interface n'a pas d'adresse IP.
Ensuite, je tape int f0 / 0 pour entrer dans le mode de sous-commande de l'interface, et saisis la commande f0 / 0.10 pour créer la sous-interface .10. Si vous regardez maintenant la liste des interfaces, vous pouvez voir que le système a créé une nouvelle interface virtuelle FastEthernet0 / 0.10, qui est à l'état activé.
Un point dans le nom indique qu'il s'agit d'une interface virtuelle et non physique. Ensuite, nous revenons au mode des paramètres globaux et créons la sous-interface f0 / 0.20. Passons maintenant aux paramètres de la nouvelle sous-interface f0 / 0.10, en utilisant la commande int f0 / 0.10. Vous voyez que l'invite de ligne de commande a pris la forme de sous-commandes de routeur (config-subif) #. Maintenant, je peux attribuer une adresse IP à cette interface avec la commande ip address 192.168.10.10 255.255.255.0. Si j'appuie sur «Entrée», le système affichera un message: «La configuration du routage IP pour le sous-interface LAN n'est possible que si cette interface est déjà configurée dans le cadre de IEEE 802.10, 802.1q ou ISL vLAN». Par conséquent, je dois entrer la commande pour utiliser l'encapsulation en utilisant le protocole .1q pour un VLAN spécifique, pour lequel je tape l'encapsulation dot1Q 10, où 10 est le numéro du VLAN.
Maintenant, je vais saisir l'adresse IP souhaitée et le système l'acceptera. f0/0.20 – IP- 192.168.20.10. , IP- f0/1, no ip address. f0/0.20, , .
PC0 , PC1. , -, . , int f0/3 switchport mode trunk. , , VLAN10 VLAN20. , , , ! , Router-on-a-Stick. - , . , .
, , VLAN1. «» . IP- 192.168.30.1, 255.255.255.0 192.168.30.10. , PC2, VLAN1, VLAN10?
native VLAN, , ? 2 – VLAN10, VLAN20.
2 . – int f0/0. ip address 192.168.30.10 255.255.255.0, IP-. PC2, VLAN, f0/0 .
, 192.168.10.1 PC2. , PC0. , , , . , – Fa0/4, PC2, VLAN 20 SALES.
int f0/4, switchport mode access switchport access vlan 1. PC0 , , , , , PC2 .
, Native VLAN IP-. – IP- f0/0 – . , f0/0.30. .1q «native»: encapsulation dot1Q 1 native. , native VLAN, . IP- 192.168.30.10 255.255.255.0 no shutdown.
, . PC2 ping 192.168.10.1, , .
. , , 3 . , 3- OSI.
3- , VLAN. , , , Inter-VLAN 3- , . 3- 2- 3- .
. 3 – , . VLAN10 VLAN20 SVI. , VLAN, , VLAN . SVI IP- VLAN.
SVI , . , SVI ROAS, . 3- SVI.
Packet Tracer. Cisco 3- , VLAN: f0/1 VLAN10, f0/2 VLAN20, . , VLAN1 PC2, .
, SVI VLAN1, administratively down.
3- , . show ip route , , , IP- .
ip routing, . show ip rout, , , SVI VLAN10 VLAN20.
Packet Tracer SVI. , int vlan 10, ip address 192.168.10.10 255.255.255.0 no shutdown. , , IP- VLAN10.
int vlan 20, ip address 192.168.20.10 255.255.255.0 no shutdown. , PC0 PC1 192.168.20.1. , VLAN10 VLAN20, 3- Inter-VLAN.
VLAN1, int vlan 1, n shutdown IP- ip address 192.168.30.10 255.255.255.0, n shutdown. PC2.
, , , VLAN. f0/4 VLAN40. f0/4 IP- VLAN40.
3- , access-, VLAN.
, Inter-VLAN : ROAS Cisco 3- . , SVI, .
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV Ă partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - Ă partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?